Bienvenue

Bienvenue sur le Blogue du CRL du Jeune Barreau de Montréal (JBM)! Ce blogue est dédié à la diffusion de contenu juridique pour tous les avocats du Québec et plus spécifiquement pour les membres du JBM. Le contenu est offert grâce à une communauté d'avocats bénévoles impliqués sur le Comité recherche et législation du JBM. Si vous désirez devenir auteur ou contribuer au succès de ce blogue, faites-nous part de votre intérêt.

mardi 6 octobre 2020

Chronique du CTI - L’invalidation du bouclier de protection des données UE-États-Unis (Privacy Shield) en bref

Laurence Champagne, avocate

 

 

 

Introduction

Dans le cadre de l’arrêt Schrems II,  la Cour de Justice de l’Union européenne (CJUE) a invalidé, le 16 juillet 2020, la décision d’adéquation du bouclier de protection des données Privacy Shield  permettant le transfert de données personnelles entre les entreprises de l’Union européenne et des États-Unis en vue de soutenir le commerce transatlantique. 

M. Maximillian Schrems, utilisateur de Facebook, a déposé une plainte auprès de l’autorité irlandaise de contrôle notamment afin d’interdire le transfert des données par Facebook Ireland vers des serveurs appartenant à Facebook Inc. aux États-Unis[1]. Il a soutenu dans sa plainte que le droit américain ne permet pas d’offrir une protection suffisante contre l’accès à ses renseignements personnels par les autorités publiques américaines. L’arrêt Schrems II fait suite à la décision de la CJUE rendue en 2015 invalidant le Safe Harbor (Schrems I) et invitant M. Schrems à reformuler sa plainte.

L’arrêt Schrems II porte entre autres sur deux questions en litige principales, à savoir; (1) la validité des clauses contractuelles types afin de transférer des données à caractère personnel vers des sous-traitants établis à l’extérieur de l’Union européenne ainsi que (2) la validité du statut d’adéquation Privacy Shield entre l’Union européenne et les États-Unis.

1)   L’invalidation du statut d’adéquation Privacy Shield afin de transférer des données à caractère personnel entre l’Union européenne et les États-Unis

 

La CJUE a invalidé le Privacy Shield pour les motifs que les lois américaines États-Unis n’offrent pas un niveau de protection adéquat aux données personnelles provenant de l’Europe. En effet, il a été jugé que les programmes de surveillance américains rendent possible une ingérence dans les droits fondamentaux des résidents européens. Comme cette ingérence n’est pas limitée conformément au principe de proportionnalité, les lois internes américaines font défaut d’offrir un mécanisme de protection équivalent à celui applicable en vertu des lois européennes. 

 

Selon la CJUE, « une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective »[2].

 

2)     La validité des clauses contractuelles afin de transférer des données à caractère personnel vers des sous-traitants établis dans des pays tiers

 

La Cour a toutefois reconnu la validité des clauses contractuelles types comme mécanisme afin de procéder au transfert de données personnelles vers un pays tiers, car celles-ci ne lient pas les autorités dudit pays. Cependant, le transfert des données ne peut être effectué que si le pays tiers dispose de garanties appropriées et que les résidents européens bénéficient de droits opposables et de voies de droits effectives[3].

 

En effet, le transfert de données à caractère personnel de l’Union européenne vers un pays tiers n’est possible que s’il est fait vers un pays tiers détenant des garanties de protection substantiellement équivalentes à celles prévues au sein de l’Union européenne. Pour ce faire, le contenu des clauses contractuelles types ainsi que les éléments pertinents du système juridique du pays tiers comme indiqué au paragraphe 2 de l’article 45 du Règlement général sur la protection des données (RGPD) doivent être évalués, notamment l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, la défense, la sécurité nationale et le droit pénal, etc[4].

 

Conformément aux clauses contractuelles types, l’exportateur des données doit d’abord s’assurer, avant de procéder à l’exportation des données, qu’un niveau de protection équivalent est offert dans le pays tiers alors qu’il revient à l’importateur des données de suspendre ou d’arrêter le transfert s’il se retrouve incapable de se conformer auxdites clauses[5]. Il incombe donc à l’exportateur et à l’importateur des données de « compenser l’insuffisance de la protection des données dans le pays tiers » afin d’« assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union »[6]. Le transfert des données doit être suspendu ou interdit en cas de violation des clauses contractuelles types ou d’impossibilité d’honorer lesdites clauses dans le pays tiers. 

 

Conclusion

En l’absence du statut d’adéquation, le transfert des renseignements personnels ne peut être réalisé que si les garanties appropriées sont mises en place, c’est-à-dire par l’entremise des clauses contractuelles types, des règles d’entreprise contraignantes ou du consentement explicite de la personne concernée[7]. La Cour a d’ailleurs souligné que rien n’empêche les entreprises à insérer lesdites clauses dans un contrat plus large et d’y inclure des garanties supplémentaires à condition toutefois que celles-ci ne contredisent pas les clauses contractuelles types et qu’elles ne portent pas atteinte aux droits fondamentaux de la personne visée[8]

 

-----------------------------------------

Les chroniques du CTI sont rédigées par un ou plusieurs membres du Comité Technologies de l’information (CTI) dans le but de susciter les discussions et de soulever les réflexions au sein de la communauté juridique à propos des nouvelles technologies et le droit. Les auteurs sont donc seuls responsables du contenu des articles et l’opinion qui y est véhiculée n’est pas celle du JBM, mais bien celle des auteurs. Si vous désirez rédiger une chronique, envoyez un courriel au cti@ajbm.qc.ca.  


[1] Cour de justice de l’Union européenne, Communiqué de presse n°91/20, Luxembourg, le 16 juillet 2020, arrêt dans l’affaire C-311/18.

[2] Cour de justice de l’Union européenne, 16 juillet 2020, affaire C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland Ltd., par. 187.

[3] Ibid., par. 91.

[4] Ibid., par. 105.

[5] Décision d’exécution (UE) 2016/2297 de la commission du 16 décembre 2016 modifiant les décisions 2001/497/CE et 2010/87/UE relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et vers des sous-traitants établis dans ces pays, en vertu de la directive 95/46/CE du Parlement européen et du Conseil, article 4 et 5.

[6] Cour de justice de l’Union européenne, 16 juillet 2020, affaire C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland Ltd., par. 95.

[7] Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), par. 108 et 111.

[8] Cour de justice de l’Union européenne, 16 juillet 2020, affaire C-311/18, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland Ltd., par. 109.

Aucun commentaire:

Publier un commentaire

L'équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d'alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu'aucun commentaire ne sera publié avant d'avoir été approuvé par un modérateur et que l'équipe du Blogue se réserve l'entière discrétion de ne pas publier tout commentaire jugé inapproprié.